首先咱们先理清楚核心问题：你现在需要开放5000端口才能访问应用，大概率是Nginx配置有误没起到反向代理的作用，再加上安全组没正确放行80/443端口，导致你实际上是直接访问了5000端口的应用，而非通过Nginx转发请求。

要知道，Nginx和你的应用在同一台EC2实例上，它们之间是通过本地环回（127.0.0.1）通信的，完全不受AWS安全组的入站规则限制——安全组管的是公网到EC2的流量，本地进程间通信根本不需要过安全组。所以只要Nginx正常工作，安全组只需要放行80和443端口就行，5000端口完全可以对公众关闭。

下面是具体的解决步骤：

1. 修复Nginx配置的逻辑错误 #

你的第一个server块（监听80端口）存在逻辑冲突：proxy_pass和return 301同时存在时，Nginx会优先执行return指令，根本不会把请求转发到5000端口。这个server块的正确作用应该是把所有HTTP请求重定向到HTTPS，不需要做代理转发。

修改后的Nginx配置如下：

# 处理HTTP请求，全部重定向到HTTPS
server {
    listen 80;
    server_name inzack.com www.inzack.com;

    # 直接将所有HTTP请求重定向到HTTPS，无需proxy_pass
    return 301 https://$host$request_uri;
}

# 处理HTTPS请求，反向代理到本地5000端口的应用
server {
    listen 443 ssl;  # 将ssl on整合到listen指令中，符合现代Nginx写法
    server_name inzack.com www.inzack.com;

    ssl_certificate /home/ubuntu/certificates/inzack.crt;
    ssl_certificate_key /home/ubuntu/certificates/inzack.key;
    ssl_protocols TLSv1.2 TLSv1.3;  # 建议只保留更安全的TLS版本
    ssl_ciphers HIGH:!aNULL:!MD5;

    location / {
        proxy_pass http://127.0.0.1:5000;
        # 添加必要的代理头，让应用能正确获取客户端的真实信息
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

2. 调整AWS安全组规则 #

登录AWS控制台，找到你的EC2实例对应的安全组，修改入站规则：

• 保留**HTTP（80端口）和HTTPS（443端口）**的入站规则，来源设置为0.0.0.0/0（或你需要限制的特定IP范围）
• 删除或禁用5000端口的入站规则，确保公网无法直接访问该端口

3. 验证Nginx配置并重启服务 #

在EC2实例上执行以下命令：

• 先验证配置是否合法：sudo nginx -t
• 如果输出test is successful，就重启Nginx服务：sudo systemctl restart nginx

4. 测试访问 #

现在直接在浏览器访问https://inzack.com，应该就能正常访问你的应用了。你还可以用在线端口检测工具测试5000端口，会发现该端口对公众是关闭状态。

内容的提问来源于stack exchange，提问作者inzack